Copy
08 août 2017

Threat Landscape - by Intrinsec


La newsletter hebdomadaire Threat Landscape d'Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d'information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.


Au programme cette semaine :
  • La chaine de télévision américaine HBO piratée, 1.5 TB de données dérobées  
  • Attaque par ransomware, une entreprise canadienne est contrainte de payer 400 000 USD
  • Des vulnérabilités détectées au sein d’unités de contrôle télématique de grandes marques d’automobile
  • Des malwares préinstallés au sein de smartphones chinois
  • Dumbo, l’outil de la CIA pour déjouer la vidéosurveillance
  • #LeakTheAnalyst, une opérations pour nuire aux experts en sécurité informatique
  • Retour sur l'affaire "Macron Leaks"
  • Les données personnelles des électeurs américains sur eBay 
  • Des informations sur des menaces informatiques provenant de nos sources  chinoises
  • Focus sur le groupe "Carbanak/Fin7" 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d'activité spécifique : 
Threat Intelligencecontactez-nous !

 
Si vous ne l'êtes pas encore, abonnez-vous à notre newsletter
Menaces Sectorielles
 
Multimédia

HBO: victime d'un piratage sans précédent 
La chaîne de télévision américaine HBO a annoncé, le lundi 31 juillet, avoir été victime d’un piratage. Les responsables de ce piratage ont déclaré avoir volé pas moins de 1,5 terabyte de données issues des serveurs de la chaîne. Ces données comprenaient des épisodes inédits de la série Game of Thrones, ainsi que des épisodes des séries Room 104, Barry, baller, Insecure, et des informations personnelles de responsables de la société. Les pirates d'HBO avait menacé la chaîne d'organiser "la plus grande fuite numérique". Dans un message diffusé le 31 juillet, ils ont affirmé avoir réussi à "accéder au réseau interne, aux e-mails, aux plateformes techniques, et aux bases de données de HBO" et d’avoir  "récupéré des choses précieuses et confidentielles".  HBO déclare avoir lancé une enquête en collaboration avec les forces de l’ordre et des entreprises de cybersécurité.  
Multisectorielle

Une entreprise canadienne verse 425 000 dollars après une attaque par ransomware
Une grande entreprise canadienne, dont le nom reste anonyme, a dû verser 425 000 dollars de rançon pour restaurer ses systèmes informatiques après avoir subi une attaque par ransomware paralysante, qui a non seulement chiffré ses bases de données de production, mais aussi les sauvegardes. Un expert canadien en cybersecurité, Daniel Tobok, affirme que le paiement de la rançon était inévitable. Tobok estime que c'est le plus grand paiement de ransomware au Canada à ce jour. L'enquête judiciaire est toujours en cours. Il s’agit d’une attaque de phishing ciblant six responsables de l'entreprise qui ont reçu une pièce jointe PDF avec un code malveillant. Tobok ajoute que, après avoir accédé au réseau, les attaquants ont passé plusieurs mois à trouver des données avant de lancer le ransomware,
En savoir plus
Automobile

Des vulnérabilités détectées au sein d’unités de contrôle télématique de grandes marques d’automobile
A l’occasion de la convention hacker DEF CON, trois chercheurs en sécurité informatique ont présenté leur découverte : ils ont détecté des vulnérabilités au sein d’unités de contrôle télématique (TCU) présentes sur plusieurs modèles d’automobiles tels que BMW, Ford, Nissan ou encore Infiniti. Les TCU sont des modems 2G utilisés par les véhicules modernes, et permettent d’établir des communications entre le véhicule et des outils de gestion à distance (comme des applications). Les TCU en question sont fabriqués par Continental AG. Si ces vulnérabilités sont exploitées, elles pourraient notamment permettre à un attaquant d’exécuter du code ou d’accéder à certaines interfaces. D’après les constructeurs automobiles, les attaquants pourraient uniquement accéder aux services de divertissement présents dans l’habitacle.
En savoir plus
Numérique

Triada, un malware préinstallé sur des smartphones chinois
Des chercheurs de Dr Web ont révélé mardi 1 août, qu’un malware, baptisé Triada Trojan, serait préinstallé sur de nombreux smartphones chinois de constructeurs low-cost. Le malware semble avoir été injecté lors de l’installation d’Android sur les appareils, il est capable de se procurer les informations personnelles des applications bancaires et des messages dans les réseaux sociaux ou dans des messageries. Le malware est préinstallé sur les smartphones LEAGOO M5 Plus, LEAGOO M8, Nomu S10 et Nomu S20, et S30. Selon Dr Web, le malware pourrait être diffusé par des concepteurs malhonnêtes qui ont élaborer les logiciels internes des smartphones. 
En savoir plus
 
Dumbo, l’outil de la CIA pour déjouer la vidéosurveillance
Le site wikileaks.org a publié le jeudi 3 août 2017, de nouvelles données dans le cadre de la campagne Vault 7. Les dernières informations divulguées par le site concernent un malware baptisé Dumbo qui aurait été utilisé par la CIA lors d’une intrusion physique pour désactiver tout système vidéo ou audio de surveillance domestique, connecté à un ordinateur sous Windows. Concrètement, cela permettrait à un agent de la CIA de pénétrer dans le bâtiment de la cible, d’accéder à l’ordinateur contrôlant les systèmes de vidéosurveillance, et de connecter à la machine une clé USB contenant Dumbo. Le malware détecte et désactive des caméras et microphones connectés à l’ordinateur, et coupe toutes les connexions internet, rendant le dispositif de surveillance aveugle. Dombo permet aussi de corrompre les vidéos en cours d’enregistrement.
En savoir plus

Mandiant, victime d'une fuite de donnée 
Le groupe de pirates "31337 Hakers" a annoncé, dans une publication sur le site de partage Pastebin, avoir lancé une opération baptisée #LeakTheAnalyst. L’objectif de cette opération est de cibler les experts en sécurité informatique. Ainsi, le groupe affirme avoir compromis l’infrastructure de Mandiant, filiale de FireEye, en diffusant une archive ZIP de 34 Mo de données contenant l’historique de géolocalisation, des documents internes (licences, contrats FireEye, schémas de topologie réseau), des identifiants ainsi que des mots de passe, e-mails, etc. De son côté, FireEye assure n’avoir détecté aucune indication de compromission de ses systèmes ou de ceux de Mandiant, et que cette fuite de données serait  en réalité une conséquence de la compromission de plusieurs comptes (LinkedIn, Microsoft) de l’un de leurs chercheurs basé en Israël.
En savoir plus
Politique
 
WikiLeaks publie 21000 emails dans le cadre des "Macron Leaks"
Le site wikileaks.org a publié le lundi 31 juillet 2017, la totalité des contenus dérobés aux membres du parti politique En marche : 71 848 emails dont 21 000 ont pu être confirmés comme étant authentiques par Wikileaks.  Ces emails avaient été diffusés sur Internet peu de temps avant le second tour de l'élection présidentielle. Un moteur de recherche a été mis en place afin de pouvoir faire le tri parmi les emails et ainsi distinguer les emails dont l'authenticité a été vérifiée. Dans un communiqué, En marche a déclaré que ces documents seraient les mêmes que ceux issus de l’opération de piratage organisée le 5 mai dernier.

Les données personnelles de 650 000 électeurs vendues sur eBay.
Le gouvernement des Etats-Unis revend souvent des anciennes machines de vote, après avoir effacé toutes les informations stockées dans celles-ci. Pourtant le cas d’ExpressPool-5000, une machine de vote vendue sur eBay, démontre le contraire. Les informations personnelles des électeurs ont été stockées sur une carte mémoire amovible qui peut être insérée dans un lecteur de carte, puis récupérées facilement à partir de n'importe quel ordinateur. Même si les données de l'électeur avaient été effacées de la machine, toute personne ayant accès à la carte mémoire pourrait encore avoir accès aux données. Bien que les détails contenus dans ces machines n'aient pas été révélés, les livres de votes électroniques stockent habituellement les noms, les adresses, ainsi que l’appartenance politique des électeurs.
En savoir plus
Ecosystème Régional


Ecosystème chinois

Un nouveau SLocker exploite la popularité du jeu Kings of Glory
La société Trend Micro a détecté une nouvelle variante de SLocker, un ransomware affectant les mobiles Android qui imite le GUI (interface graphique) de Wannacry. Elle a observé que celui-ci s’installe via le réseau social chinois QQ, et plus particulièrement les groupes de discussion dédiés à l’application  "Kings of Glory", un jeu mobile extrêmement populaire en Chine. SLocker se cache dans un fichier qui se présente comme un pack d’add-ons pour tricher, intitulés "Here comes money" ou "Modifiers for King of Glory".
Source

 
Individus & Groupes

"Carbanak/Fin7"
D’après Proofpoint, le groupe Carbanak/Fin7 aurait récemment mis à jour son arsenal d’outils d’attaque : une nouvelle backdoor baptisée « Bateleur » ainsi que des macros malveillantes retravaillées. Ces outils  auraient été utilisés pour viser des chaînes de restaurants américains. Au mois de juin, le groupe aurait ainsi distribué sa backdoor grâce à des campagnes de phishing envoyées depuis un compte Outlook et contenant des macros malveillantes incrustées dans des documents Word. Ces nouveaux outils auraient permis au groupe de gagner en furtivité et ainsi d’augmenter le nombre de victimes potentielles. 

En savoir plus
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d'alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.
Cliquez ici pour en savoir plus
Pensez à autoriser notre contact dans votre filtrage anti-spam.
Copyright 2017 Intrinsec Sécurité - Toute reproduction interdite sans autorisation explicite






This email was sent to <<Email>>
why did I get this?    unsubscribe from this list    update subscription preferences
Intrinsec · Tour CBX, 1 Passerelle des Reflets · Courbevoie 92400 · France

Email Marketing Powered by Mailchimp